1

Datenschutzbewusstsein

Bettina Berendt

9.7.2012

2

Bürger sind besorgt

3

Staaten sind bemüht

4

Unternehmen sind bemüht

5

Forscher sind bemüht

6

Bürger sind besorgt?Oder: es ist gut, Sie zu kennen!

• X kam als Schneemann verkleidet zu seinem Praktikum!• Diese zwei sind Freunde (und sie haben sich auf der Party P

kennengelernt):

• Das ist Ys Freundin:• Aber Z ist noch zu haben!

7

Staaten sind bemüht?

8

Unternehmen und Forscher sind bemüht?

9

• Stimmt da was nicht mit dem Datenschutzbewusstsein?

10

Datenschutzbewusste Informationssysteme

1. Was ist das?• Informatisch• Nicht-informatisch

2. Was sollte man als Informatiker/in wissen?

3. Was kann man als Informatiker/in tun?

11

Worum geht es hier eigentlich?Juristische Sicht von „Wissen ist Macht“

12

Worum geht es hier eigentlich?Juristische Sicht von „Wissen ist Macht“

Datenschutz :Transparenz

undRechenschafts-

pflichten vonDatenverarbeitern

13

Worum geht es hier eigentlich?Juristische Sicht von „Wissen ist Macht“

Privacy :Opakheitdes IndividuumsalsDatensubjekt

Datenschutz :Transparenz

undRechenschafts-

pflichten vonDatenverarbeitern

14

Prinzipien des europäischen Datenschutzrechts: Gegenstand (1)personenbezogene Daten :

alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann,

insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind

(Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) Weiteres in „E-Privacy Directive“ (2002/58/EC)

z.B. IP-Adresse

Datensubjekt

15

Prinzipien des europäischen Datenschutzrechts: Gegenstand (2)"Verarbeitung personenbezogener Daten" ("Verarbeitung"):

jede[r] mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten

16

Prinzipien des europäischen Datenschutzrechts: Pflichten des Datenverarbeiters

1. Rechenschaftspflicht / Verantwortlichkeit (accountability)2. Verbot mit Erlaubnisvorbehalt

• insb. ausdrückliche gesetzliche Regelung oder informierte Einwilligung3. Datenqualität

• Korrektheit, Erforderlichkeit, Verhältnismäßigkeit, Datensparsamkeit, Datenvermeidung, Aufbewahrungsfristen

4. Zweckbindung5. Vertraulichkeit und Sicherheit

• Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten vor zufälligen oder unrechtmäßigen Zerstörung, Verlust, Änderung, unautorisierter Offenlegung oder Zugang, und zum Schutz vor allen anderen unrechtmäßigen Formen der Verarbeitung

6. Transparenz• Benachrichtigung des Datensubjekts und der relevanten Autorität

(z.B. Datenschutzbeauftragter)7. Übertragung außerhalb der EU nur, wenn dort ein entsprechendes

Schutzniveau herrscht

17

Prinzipien des europäischen Datenschutzrechts: Rechte des Datensubjekts

• Erlaubnis (oder nicht) der Verarbeitung eigener Daten zu einem bestimmten Zweck

• Benachrichtigung / Information, insb.– Identität der Organisation– Grund der Verarbeitung

• Zugang• Korrektur von Fehlern• Löschung• Widerspruch gegen die Verarbeitung seiner

personenbezogenen Daten

18

Prinzipien des europäischen Rechts zu Privacy / Privatsphäre

Artikel 8 Europäische Menschenrechtskonvention Recht auf Achtung des Privat- und Familienlebens

(1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.(2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.

Entspricht den Ideen des Grundgesetzes, hat in Deutschland de facto übergesetzlichen Rang.

Verpflichtet den Staat zum Unterlassen oder Tun Erzwingt z.T. auch staatliches Handeln gegenüber Privatparteien Kann Daten-Zurückhalten oder -Verbreiten beinhalten

19

Juristische und andere Sichtweisen Privacy reloaded

Juristische Begriffe

Datenschutz

Privacy

Jura, Informatik, Soziologie …:Recht des Individuums auf …

Informationelle SelbstbestimmungKontrolle

Auch: „(informational, data) privacy“

Vertraulichkeit

Identitätskonstruktion

Privacy-Typen

[Gürses & Berendt, In: Privacy-Aware Knowledge Discovery, 2010 ]

20

Datenschutzbewusste Informationssysteme

1. Was ist das?• Informatisch• Nicht-informatisch

2. Was sollte man als Informatiker/in wissen?

3. Was kann man als Informatiker/in tun?

Privacy-aware Informationssysteme

21

Privacy-aware Informationssysteme

„Wissen um Privacy“ beinhaltet Wissen auf Seiten aller Akteure eines IS um– Rechte und Pflichten– Muster – Technische Möglichkeiten– Verantwortung

und die Ausrichtung an diesem Wissen im beruflichen wie zivilgesellschaftlichen Handeln

Was sollte man als

Informatiker/in wissen?

Was kann man als

Informatiker/in tun?

22

Privacy-aware Informationssysteme

1. Was ist das?• Informatisch• Nicht-informatisch

2. Was sollte man als Informatiker/in wissen?

3. Was kann man als Informatiker/in tun?

23

Was sollte man als Informatiker/in wissen?

„Wissen um Privacy“ beinhaltet Wissen auf Seiten aller Akteure eines IS umRechte und Pflichten– Muster

• Informatisch• Psychologisch / soziologisch• Ökonomisch

– Technische Möglichkeiten– Verantwortung

und die Ausrichtung an diesem Wissen im beruflichen wie zivilgesellschaftlichen Handeln

24

Inferenzprobleme:Intersection attacks auf relationale

Daten mit Record linkageDatabase 1 Database 2

12345 Female 1960 Aids Alice 12345 Female 1960

12345 Male 1930 Aids Bob 12345 Male 1960

12345 Male 1930 Husten Charlie 12345 Male 1930

56789 Female 1930 Aids Doreen 56789 Female 1960

56789 Female 1960 Husten Elaine 56789 Female 1930

25

Record linkage und k-anonymity

K-anonymity (einer Tabelle in einer relationalen DB):• Jeder Record in der Tabelle ist un-unterscheidbar von

mindestens k-1 anderen Records in Hinsicht auf jede Menge von Quasi-Identifier-Attributen

Database 1 Database 2

12345 Female 1960 Aids Alice 12345 Female 1960

12345 Male 1930 Aids Bob 12345 Male 1960

12345 Male 1930 Husten Charlie 12345 Male 1930

56789 Female 1930 Aids Doreen 56789 Female 1960

56789 Female 1960 Husten Elaine 56789 Female 1930

26

Record linkage und k-anonymity

K-anonymity (einer Tabelle in einer relationalen DB):• Jeder Record in der Tabelle ist un-unterscheidbar von

mindestens k-1 anderen Records in Hinsicht auf jede Menge von Quasi-Identifier-Attributen

Database 1 Database 2

12345 Female 1960 Aids Alice 12345 Female 1960

12345 Male 1930 Aids Bob 12345 Male 1960

12345 Male 1930 Husten Charlie 12345 Male 1930

56789 Female 1930 Aids Doreen 56789 Female 1930

56789 Female 1960 Husten Elaine 56789 Female 1930

Zur Nutzung des Wissens um Inferenzen für Analytics Services:[Berendt, Preibusch & Teltzrow, Int. Journal of E-Commerce, 2008]

27

Intersection attacks auf nicht-relationale Daten

• Texte und Ratings• Queries• (z.B. Soziale) Graphen

28

Einstellungen und Verhalten;Kontextabhängigkeit

[Berendt, Günther & Spiekermann, CACM 2005 ]

29

Externe Effekte

• (Preibusch & Beresford, 2008): Deutsches soziales Netzwerk mit

– 120K Nutzern, davon 26K aktiv:

• 1900 Nutzer mit verborgener Freundeliste,

– davon konnte für 1300 ≥ 1 Freund inferiert werden

Öffentliche Freundesliste:AliceBobCharlie…

VerborgeneFreundeliste

30

FF

FoFF

Konflikte

?

[Gürses & Berendt, In: Privacy-Aware Knowledge Discovery, 2010 ]

31

Geschäftsmodelle

Aber:Signifikante Minderheit

von Webnutzern istbereit, „für Privacy zu zahlen“

32

Privacy ist ein dynamischer, gesellschaftlich verhandelter Begriff

33

Was sollte man als Informatiker/in wissen?

„Wissen um Privacy“ beinhaltet Wissen auf Seiten aller Akteure eines IS umRechte und PflichtenMuster– Technische Möglichkeiten– Verantwortung

und die Ausrichtung an diesem Wissen im beruflichen wie zivilgesellschaftlichen Handeln

34

Technische Möglichkeiten

Privacy-Typ Privacy-Enhancing Technologies,

Gebiete der Informatik

Vertraulichkeit Anonymizers, …

Kryptographie, Data Mining, Datenbanken, Sichere Systeme

Kontrolle Access control, …

Datenbanken, Sichere Systeme

Identitätskonstruktion Identity management, Privacy feedback & awareness, …

s.o. + HCI + Inf. & Gesellschaft

35

Was kann man als Informatiker/in tun?

• Privacy-enhancing Technologien bauen• Im Systementwurf, -einsatz usw. privacy-

bewusst handeln• Einen breiten Blick haben

– statt DAU-Annahmen zu machen (als Sysadmin)– statt eines rein monodisziplinären (als Forscher)

• Sein Wissen teilen

– und den Humor und die Begeisterung nicht verlieren !

36

Ausblick:Noise injection, client-side

37

Zusammenfassung

1. Datenschutzbewusste / privacy-aware Informationssysteme: Was ist das?

• Informatisch• Nicht-informatisch

2. Was sollte man als Informatiker/in wissen?

3. Was kann man als Informatiker/in tun?

38

Zum Nach- und Weiterlesen

• Literaturliste wie immer auf der Webseite!

39

43

Privacy ist ein spannendes interdisziplinäres Feld!

„Wissen um Privacy“ beinhaltet Wissen auf Seiten aller Akteure eines IS um– Regularitäten/Gesetzmäßigkeiten

Naturwissenschaftlich und sozialwissenschaftlich

– Rechte und Pflichten juristisch

– Verantwortungethisch

und die Ausrichtung an diesem Wissen im beruflichen wie zivilgesellschaftlichen Handeln

Das evt. Nur sagen!

44

Worum geht es hier eigentlich?„Wissen ist Macht“ 101

53

Regularitäten/Gesetzmäßigkeiten

• Informatisch– Inferenzprobleme (z.B. intersection attacks,

prozessuale Probleme)– Konflikte ( Security; Logik; Software Engineering)

• Ökonomisch / politisch– Geschäftsmodelle– Informationsgüter– Externe Effekte– Aufmerksamkeitsökonomie

• Psychologisch / soziologisch– Einstellungen und Verhalten– Privacy as Practice

54

Privacy-aware IT-Systeme?

• Analogie zu „context awareness“, „location awareness“

• „Privacy-aware“ wird seltener in der Informatik benutzt, aber ähnliche Begriffe für Methoden, z.B.– Privacy-enhancing technologies– Privacy-preserving data mining– Private information retrieval– Discrimination-aware data mining

• Privacy-aware IT Systeme? „Privacy by design“?

55

Über die juristische Sicht hinaus:Privacy reloaded

• Privacy as hiding: Confidentiality– „the right to be let alone“

• Privacy as control: Informational self-determination– the ability to control what

happens with one‘s personal information

• Privacy as practice: Identity construction– the freedom from unreasonable

constraints on the construction of one’s own identity, be it by strategically being able to reveal or conceal data.

56

Prinzipien des europäischen Datenschutzrechts: Gegenstand (1)personenbezogene Daten :

alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann,

insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind

(Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) Weiteres in „E-Privacy Directive“ (2002/58/EC)

§3 Abs. 9 BDSG: Sensible Daten dürfen nur unter besonderen Bedingungen verarbeitet werden

z.B. IP-Adresse

Datensubjekt

57

Prinzipien des europäischen Rechts zu Privacy / Privatsphäre

Artikel 8 Europäische Menschenrechtskonvention Recht auf Achtung des Privat- und Familienlebens

(1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.(2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.

Entspricht den Ideen des Grundgesetzes, hat in Deutschland de facto übergesetzlichen Rang.

Verpflichtet den Staat zum Unterlassen oder Tun Kann Daten-Zurückhalten oder -Verbreiten beinhalten Erzwingt z.T. auch staatliches Handeln gegenüber Privatparteien Auslegung: auch „öffentliche“ Daten können u.U. „privat“ sein das ist Rotaru

v Romania, was ich aber nicht ganz verstehe

58

Externe Effekte

Alice

Bob

59FF FoF F

CommonFriends

Konflikte(Bsp. Soziale Netzwerke)

64

Het is goed om jullie te kennen (2)

• Dit is C zijn vriendin:

• ... Maar student D

is nog vrij:

72

Privacy ist ein dynamischer, gesellschaftlich verhandelter Begriff

73

Privacy ist ein dynamischer, gesellschaftlich verhandelter Begriff

74

Juristische und andere Sichtweisen Privacy reloaded

Juristische Begriffe

Datenschutz

Privacy

Jura, Informatik, Soziologie …:Recht des Individuums auf …

Informationelle SelbstbestimmungKontrolle

Auch: „(informational, data) privacy“

Vertraulichkeit

Identitätskonstruktion

Privacy-Typen

[Gürses & Berendt, In: Privacy-Aware Knowledge Discovery, 2010 ]